Questões de Segurança da Informação - Mecanismos de segurança

agir.

verificar.

planejar.

executar.

responsabilidades dos usuários.

requisitos do negócio para controle de acesso.

gerenciamento de acesso do usuário.

controle de acesso ao sistema e à aplicação.

Criptografia assimétrica.

Esteganografia.

Função-resumo (hash).

Certificado digital.

Assinatura digital.

O criptossistema no qual a criptografia e a descriptografia são realizadas via diferentes chaves é
conhecida como criptografia assimétrica, também conhecida como criptografia de chave pública. A
criptografia assimétrica transforma o texto da mensagem em texto cifrado utilizando uma de duas chaves
e um algoritmo de criptografia. A outra chave é associada a um algoritmo de descriptografia, o texto da
mensagem é recuperado a partir do texto cifrado. A desvantagem da criptografia assimétrica está em
seu desempenho, pois é mais lenta quando comparada com a criptografia simétrica.

Algoritmos Hash, também conhecido como one-way, são funções criptográficas que possuem como
entrada mensagens de tamanho variável e a saída de tamanho fixo. Uma mensagem de entrada, sempre
que for submetida à análise da função Hash, vai gerar a mesma saída. Os algoritmos Hash mais
conhecidos são MD5, que produz um valor Hash de 128 bits e o SHA cujo valor é de 160 bits.

Os modos de operações de algoritmos criptográficos podem ser divididos em: cifragem por fluxo (stream
cipher) e cifragem em blocos (block cipher). ECB, CFB, CBC, OFB são exemplos de modos de
operações por cifragem em blocos.

O AES é um algoritmo de cifragem capaz de utilizar chaves criptográficas de 128 bits, 192 bits e 256 bits
para cifrar e decifrar blocos de 128 bits.

Considere o cenário no qual um usuário X deseja trocar informações criptografadas com um usuário Y.
Esse usuário X precisa utilizar um algoritmo e uma chave. Caso ele use criptografia simétrica, a chave
para X cifrar a mensagem e Y decifrar será a mesma. Contudo, na situação em que X deseje trocar
informações com um terceiro usuário, nessa nova troca de informações, haveria a necessidade de uma
nova chave, pois se o usuário X usar a mesma chave que usa com Y, o próprio Y poderia decifrar as
mensagens. Dessa maneira, se esse usuário X estiver trocando mensagens criptografadas com diversas
outras pessoas, necessitará então de diversas outras chaves diferentes. Em algoritmos simétricos os
tamanhos das chaves são de 1024 bits, 2048 bits e 4096 bits.

O controle criptográfico tem por finalidade proteger a confidencialidade, autenticidade ou integridade das
informações por meio da validação de dados de entrada e de saída.

A norma adota o modelo PDCA (Plan-Do-Check-Act) para estruturar todos os processos do SGSI.

Os controles da norma são apresentados como boas práticas para que a organização adote uma postura
proativa e preventiva diante de requisitos e necessidades da segurança da informação.

O objetivo da política de segurança da informação é prover orientação e apoio à direção, para a
segurança da informação de acordo com os requisitos do negócio e com as leis e regulamentações
relevantes.

A segurança física e do ambiente tem por objetivo prevenir o acesso físico não autorizado, danos e
interferências com as instalações e informações da organização.